Вы должны просмотреть свои журналы просмотра событий для идентификаторов событий: 5007; 1123; 1124. В частности, 1123 (проверенные события) и 1124 (заблокированные события).
Если вам необходимо настроить функцию, вы должны перевести ее в режим аудита, а затем отслеживать события, чтобы определить, какие программы должны быть в белом списке .
Из административного окна PowerShell следующая команда переводит его в режим аудита:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Следующая команда полностью активирует контролируемый доступ к папкам после ее точной настройки:
Set-MpPreference -EnableControlledFolderAccess Enabled