Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
Controlled Folder Access (Kontrollü Klasör Erişimi), Windows 11’de belgeleri, fotoğrafları ve diğer önemli dosyaları ransomware (fidye yazılımı) saldırılarından korumaya yardımcı olur. Bu rehberde özelliğin nasıl etkinleştirileceğini, korunan klasörlerin nasıl yapılandırılacağını, uygulamalara nasıl erişim izni verileceğini ve korumanın PowerShell ile Grup İlkesi üzerinden nasıl yönetileceğini anlatıyoruz.
Controlled Folder Access (Kontrollü Klasör Erişimi), Windows 11 içerisinde yer alan ve fidye yazılımlarına karşı koruma sağlayan yerleşik bir güvenlik özelliğidir. Belirlenen klasörleri izler ve bu klasörlerin içeriğinde değişiklik yapılmasına yalnızca güvenilir uygulamalar için izin verir. Bilinmeyen programlar tarafından gerçekleştirilen yazma girişimleri ise engellenir. Özellik varsayılan olarak devre dışı bırakılmıştır, bu nedenle etkinleştirme ve yapılandırma işlemlerinin manuel olarak yapılması gerekir.
Controlled Folder Access (Kontrollü Klasör Erişimi) Ne İşe Yarar?
Bu özellik, güvenilir uygulamalar listesi mantığıyla çalışır. Herhangi bir program korunan bir klasörde bulunan dosyayı değiştirmeye veya silmeye çalıştığında Windows, uygulamayı bilinen ve güvenilir programlar listesiyle karşılaştırır. Eğer uygulama listede yer almıyorsa işlem engellenir ve kullanıcıya bir bildirim gösterilir. Böylece sistem üzerinde çalıştırılmış olsa bile bir fidye yazılımı, koruma altındaki klasörlerde bulunan belgeleri şifreleyemez.
Özelliğin çalışmasından yerleşik Microsoft Defender Antivirus sorumludur. Bu nedenle Real-time Protection (Gerçek Zamanlı Koruma) özelliğinin etkin olması zorunludur. Eğer sistemde ana antivirüs çözümü olarak üçüncü taraf bir güvenlik yazılımı kullanılıyor ve Microsoft Defender koruması devre dışı bırakılmışsa, Controlled Folder Access (Kontrollü Klasör Erişimi) çalışmayacaktır.
Uyarı: Controlled Folder Access (Kontrollü Klasör Erişimi) özelliğinin çalışabilmesi için Microsoft Defender Antivirus ve Real-time Protection (Gerçek Zamanlı Koruma) aktif olmalıdır.
Özellik varsayılan olarak bilinçli şekilde devre dışı bırakılmıştır. Bunun temel nedeni, yanlış engellemelerin önüne geçmektir. Özellik etkinleştirildikten sonra bazı meşru uygulamalar (oyunlar, yedekleme araçları, grafik düzenleme yazılımları ve video düzenleme programları gibi) korunan klasörlere erişimlerini kaybedebilir. Bu durumda ilgili uygulamaların izin verilenler listesine manuel olarak eklenmesi gerekir.
Özellik Nasıl Etkinleştirilir?
Windows Güvenliği (Windows Security) uygulamasını açın. Bunun için Başlat menüsünü kullanabilir veya bildirim alanında bulunan kalkan simgesine tıklayabilirsiniz. Ardından Virüs ve tehdit koruması (Virus & threat protection) bölümüne gidin.
Sayfayı aşağı kaydırarak Fidye yazılımı koruması (Ransomware protection) bölümünü bulun ve Fidye yazılımı korumasını yönet (Manage ransomware protection) seçeneğine tıklayın.
Açılan sayfada Controlled Folder Access (Kontrollü Klasör Erişimi) seçeneğinin anahtarını Açık (On) konumuna getirin ve ardından görüntülenen User Account Control (Kullanıcı Hesabı Denetimi) onay penceresindeki işlemi doğrulayın.
Özellik etkinleştirildikten sonra anahtarın altında üç yapılandırma seçeneği görüntülenir: Block history (Engelleme geçmişi), Protected folders (Korunan klasörler) ve Allow an app through Controlled folder access (Kontrollü Klasör Erişimi üzerinden bir uygulamaya izin ver).
Bilgi: Özellik etkinleştirildiğinde Windows, korunan klasörlerde engellenen erişim girişimlerini kaydeder ve gerektiğinde güvenilir uygulamaları izin verilenler listesine eklemenize olanak tanır.
Kullanılabilir Ayarlar
Korunan Klasörler
Protected folders (Korunan klasörler) bölümü, koruma altında bulunan klasörlerin listesini görüntüler. Varsayılan olarak bu listeye Windows’un sistem klasörleri ile birlikte kullanıcıya ait Belgeler (Documents), Resimler (Pictures), Videolar (Videos), Müzik (Music) ve Sık Kullanılanlar (Favorites) klasörleri dahil edilir. Ayrıca bu klasörlerin C:\Users\Public dizinindeki ortak sürümleri de koruma kapsamına alınır.
Varsayılan olarak eklenen klasörler listeden kaldırılamaz. Ancak Add a protected folder (Korunan klasör ekle) seçeneği kullanılarak yeni klasörler koruma listesine eklenebilir.
Örneğin iş projelerinizin bulunduğu bir klasörü, önemli veri tabanlarını veya kritik dosyalarınızı sakladığınız özel dizinleri koruma altına almak için ilgili klasör yolunu seçmeniz yeterlidir.
Bilgi: Korunan klasörler listesine eklenen tüm dizinler, Controlled Folder Access (Kontrollü Klasör Erişimi) tarafından izlenir ve yalnızca izin verilen uygulamaların bu klasörlerde değişiklik yapmasına izin verilir.
Kontrollü Klasör Erişimi Üzerinden Bir Uygulamaya İzin Ver
Bu bölümde, korunan klasörlerde bulunan dosyaları değiştirmesine izin verilen güvenilir uygulamalar listesi oluşturulur. Microsoft Defender, yaygın olarak kullanılan ve güvenilir kabul edilen birçok uygulamaya varsayılan olarak güvenir. Bu nedenle çoğu durumda manuel olarak uygulama eklemeniz gerekmez.
Bununla birlikte, ihtiyaç duyduğunuz bir uygulama engellenirse İzin verilen uygulama ekle (Add an allowed app) seçeneğine tıklayın ve ardından aşağıdaki seçeneklerden birini kullanın:
- Yakın zamanda engellenen uygulamalar (Recently blocked apps): Erişimi kısa süre önce engellenen uygulamaları görüntüler.
- Tüm uygulamalara göz at (Browse all apps): Uygulamanın çalıştırılabilir dosyasını (.exe) manuel olarak seçmenizi sağlar.
Uygulama izin verilenler listesine eklendikten sonra, korunan klasörlerde bulunan dosyalar üzerinde yazma ve değişiklik yapma yetkisine sahip olur.
Uyarı: Güvenmediğiniz veya kaynağından emin olmadığınız uygulamaları izin verilenler listesine eklemeyin. Bu işlem, Controlled Folder Access (Kontrollü Klasör Erişimi) tarafından sağlanan koruma seviyesini azaltabilir.
Engelleme Geçmişi
Block history (Engelleme Geçmişi) bağlantısı, Protection History (Koruma Geçmişi) ekranını açar. Bu bölümde, Controlled Folder Access (Kontrollü Klasör Erişimi) tarafından korunan klasörlere erişimi engellenen uygulamaların listesi görüntülenir.
Eğer herhangi bir uygulama dosyaları kaydetmeyi durdurduysa veya beklenmedik şekilde çalışmamaya başladıysa, ilk olarak bu bölümü kontrol etmeniz önerilir. İlgili uygulamayı engelleme kayıtları arasında bulabilir ve gerekirse izin verilen uygulamalar listesine ekleyebilirsiniz.
Bilgi: Bir uygulamanın korunan klasörlere erişiminin engellenip engellenmediğini doğrulamanın en hızlı yolu Engelleme Geçmişi ekranını kontrol etmektir.
Fidye Yazılımı Saldırısından Sonra Veri Kurtarma
Aynı ekranda Ransomware data recovery (Fidye Yazılımı Sonrası Veri Kurtarma) bölümü de bulunur. Bu özellik, Controlled Folder Access (Kontrollü Klasör Erişimi) özelliğinin bir parçası değildir. Bunun yerine, OneDrive ile entegre çalışan ayrı bir veri kurtarma mekanizmasıdır.
Eğer OneDrive yapılandırılmamışsa Windows, “Fidye yazılımı saldırısı durumunda dosyalarınızı kurtarabilmek için OneDrive’ı yapılandırın” şeklinde bir uyarı görüntüler ve yanında OneDrive’ı Yapılandır (Set up OneDrive) düğmesini sunar.
Bu uyarıyı görmek istemiyorsanız Kapat (Dismiss) bağlantısını kullanarak ekrandan kaldırabilirsiniz.
Bilgi: OneDrive ile senkronize edilen dosyalar, fidye yazılımı saldırısı veya yanlışlıkla yapılan değişiklikler sonrasında sürüm geçmişi ve kurtarma seçenekleri sayesinde geri yüklenebilir.
OneDrive ile Veri Kurtarma Nasıl Çalışır?
OneDrive yapılandırılmışsa veri kurtarma sistemi şu şekilde çalışır: Bir fidye yazılımı saldırısı tespit edildiğinde hizmet kullanıcıyı bilgilendirir ve OneDrive hesabının son 30 gün içerisindeki herhangi bir zamandaki durumuna geri döndürülmesini önerir. Ayrıca kullanıcılar, tek tek dosyaların önceki sürümlerini geri yükleyebilir veya geri dönüşüm kutusundaki silinmiş dosyaları kurtarabilir.
Fidye yazılımlarının otomatik olarak algılanması ve kurtarma işlemleri Microsoft 365 aboneliğinin bir parçasıdır. Ancak Microsoft, aboneliği bulunmayan kullanıcılara da ilk fidye yazılımı tespiti ve ilk kurtarma işlemi için ücretsiz destek sunmaktadır.
Bilgi: OneDrive, dosya sürüm geçmişini sakladığı için yalnızca fidye yazılımı saldırılarında değil, yanlışlıkla yapılan değişiklikler veya silinen dosyaların geri getirilmesinde de kullanılabilir.
Controlled Folder Access (Kontrollü Klasör Erişimi) ile OneDrive üzerinden veri kurtarma farklı amaçlara hizmet eder ve birbirlerini tamamlar. Kontrollü Klasör Erişimi, dosyaların şifrelenmesini engellemeye çalışırken; OneDrive veri kurtarma özelliği, saldırının başarılı olması durumunda dosyaların önceki sürümlerine geri dönülmesini sağlar.
Bu nedenle OneDrive ile ilgili uyarının görüntülenmesi, Controlled Folder Access (Kontrollü Klasör Erişimi) özelliğinde bir sorun olduğu anlamına gelmez. Bu uyarı yalnızca ek bir kurtarma yöntemi olarak OneDrive’ı yapılandırmanızı önerir.
Uyarı: Kontrollü Klasör Erişimi etkin olsa bile düzenli yedekleme yapmak önemlidir. OneDrive veya başka bir yedekleme çözümü kullanmak, beklenmeyen veri kayıplarına karşı ek güvence sağlar.
PowerShell Üzerinden Etkinleştirme ve Yapılandırma
Aynı işlemler, yönetici olarak çalıştırılan PowerShell konsolu üzerinden de gerçekleştirilebilir. Bu yöntem özellikle toplu yapılandırma işlemleri yapmak veya belirli senaryoları otomatikleştirmek isteyen kullanıcılar için oldukça kullanışlıdır.
Özelliğin mevcut durumunu kontrol etmek için aşağıdaki komutu çalıştırabilirsiniz. Dönen sonuçta 0 değeri özelliğin devre dışı olduğunu, 1 değeri etkin olduğunu, 2 değeri ise Audit Mode (Denetim Modu) kullanıldığını gösterir:
Get-MpPreference | Select-Object EnableControlledFolderAccess
Bilgi: Audit Mode (Denetim Modu), uygulamaları engellemeden yalnızca hangi işlemlerin engelleneceğini kaydeder. Bu sayede korumayı etkinleştirmeden önce olası uyumluluk sorunlarını tespit edebilirsiniz.
PowerShell Üzerinden Yönetim
Controlled Folder Access (Kontrollü Klasör Erişimi) özelliğini PowerShell üzerinden etkinleştirebilir, devre dışı bırakabilir veya koruma listelerini yönetebilirsiniz.
Özelliği Etkinleştirme
Set-MpPreference -EnableControlledFolderAccess Enabled
Özelliği Devre Dışı Bırakma
Set-MpPreference -EnableControlledFolderAccess Disabled
Korunan Klasörler Listesine Klasör Ekleme
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\klasör\yolu"
İzin Verilen Uygulamalar Listesine Program Ekleme
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\WindowsApps\Microsoft.MicrosoftOfficeHub_19.2605.52091.0_x64__8wekyb3d8bbwe\M365Copilot.exe"
İzin Verilen Uygulamalar Listesinden Program Kaldırma
Remove-MpPreference -ControlledFolderAccessAllowedApplications "C:\uygulama\app.exe"
Uyarı: Klasör ve uygulama eklemek için mutlaka Add-MpPreference komutunu kullanın. Bu komut mevcut listeyi koruyarak yeni öğeleri ekler. Aynı parametrelerle kullanılan Set-MpPreference komutu ise mevcut listeyi tamamen değiştirir.
Audit Mode (Denetim Modu)
Özelliği tam olarak etkinleştirmeden önce Audit Mode (Denetim Modu) kullanılabilir. Bu modda engelleme yapılmaz; sistem yalnızca güvenilmeyen uygulamaların korunan klasörlerde değişiklik yapma girişimlerini olay günlüğüne kaydeder.
Bu sayede hangi uygulamaların engellenebileceğini önceden görebilir ve gerekli programları izin verilenler listesine ekleyebilirsiniz. Audit Mode (Denetim Modu), grafik arayüzden kullanılamaz; yalnızca PowerShell veya Group Policy (Grup İlkesi) üzerinden etkinleştirilebilir.
Set-MpPreference -EnableControlledFolderAccess AuditMode
Audit Mode (Denetim Modu) ve engelleme olayları, Event Viewer (Olay Görüntüleyicisi) içinde Microsoft Defender günlüklerine yazılır. İlgili kayıtlar genellikle Windows Defender / Operational bölümünde bulunur.
Group Policy (Grup İlkesi) Üzerinden Yapılandırma
Windows 11 Pro ve üzeri sürümlerde bu özellik, Local Group Policy Editor (Yerel Grup İlkesi Düzenleyicisi) üzerinden dağıtılabilir. Bunun için gpedit.msc aracını açmanız gerekir.
İlgili ayara aşağıdaki yol üzerinden ulaşabilirsiniz:
> Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Kontrollü Klasör Erişimi > Kontrollü Klasör Erişimini Yapılandır</code></pre>
Bu ayar içinde Block Mode (Engelleme Modu), Audit Mode (Denetim Modu) ve yalnızca disk üzerindeki değişiklikleri denetlemeye yönelik seçenekler kullanılabilir. Aynı bölümdeki ayrı ilkelerle korunan klasörler ve izin verilen uygulamalar listesi de yönetilebilir.
Etkinleştirdikten Sonra Bir Şey Çalışmazsa
Özelliği etkinleştirdikten sonra bir uygulama düzgün çalışmamaya başladıysa önce Block History (Engelleme Geçmişi) bölümünü açın ve gereakli uygulamanın engellenip engellenmediğini kontrol edin.
Uygulama engellenmişse, Add an allowed app (İzin verilen uygulama ekle) seçeneğiyle listeye ekleyebilir veya aşağıdaki PowerShell komutunu kullanabilirsiniz:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\uygulama\app.exe"
Bu durum en sık oyunlarda, yedekleme yazılımlarında, ekran görüntüsü araçlarında ve kullanıcı klasörlerindeki dosyaları düzenleyen uygulamalarda görülür.
İlgili Yazılar
Windows 11 Başlat Menüsü İçin Yeni Özelleştirme Seçenekleri
FluentTweaker: Windows 11’i Registry Düzenlemeden Özelleştirin
Windows 11 HDR Açma: Adım Adım Kurulum Rehberi
Microsoft Defender Yeterli mi? Bağımsız Testler Ne Diyor?
Windows 11 K2 Güncellemesi ile Gelen Yenilikler
