Proteger carpetas importantes con acceso controlado a carpetas
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
- Antivirus de Microsoft Defender
Se aplica a
- Windows
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
¿Qué es el acceso controlado a carpetas?
El acceso controlado a carpetas ayuda a proteger los datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware. El acceso controlado a carpetas protege los datos comprobando las aplicaciones con una lista de aplicaciones conocidas de confianza. Compatible con Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 y Windows 11 clientes, el acceso controlado a carpetas se puede activar mediante la aplicación Seguridad de Windows, el punto de conexión de Microsoft Configuration Manager o Intune (para dispositivos administrados).
Nota:
Los motores de scripting no son de confianza y no se puede permitir el acceso a carpetas protegidas controladas. Por ejemplo, PowerShell no es de confianza mediante el acceso controlado a carpetas, incluso si se permite con indicadores de certificado y archivo.
El acceso controlado a carpetas funciona mejor con Microsoft Defender para punto de conexión, lo que proporciona informes detallados sobre eventos y bloques de acceso controlados a carpetas como parte de los escenarios habituales de investigación de alertas.
Sugerencia
Los bloques de acceso controlados a carpetas no generan alertas en la cola de alertas. Sin embargo, puede ver información sobre los bloques de acceso controlados a carpetas en la vista de escala de tiempo del dispositivo, mientras se usa la búsqueda avanzada o con reglas de detección personalizadas.
¿Cómo funciona el acceso controlado a carpetas?
El acceso controlado a carpetas solo funciona al permitir que las aplicaciones de confianza accedan a carpetas protegidas. Las carpetas protegidas se especifican cuando se configura el acceso controlado a carpetas. Normalmente, las carpetas que se usan normalmente, como las que se usan para documentos, imágenes, descargas, etc., se incluyen en la lista de carpetas controladas.
El acceso controlado a carpetas funciona con una lista de aplicaciones de confianza. Las aplicaciones que se incluyen en la lista de software de confianza funcionan según lo esperado. Se impide que las aplicaciones que no se incluyen en la lista realicen cambios en los archivos dentro de carpetas protegidas.
Las aplicaciones se agregan a la lista en función de su prevalencia y reputación. Las aplicaciones que son muy frecuentes en toda la organización y que nunca han mostrado ningún comportamiento considerado malintencionado se consideran de confianza. Esas aplicaciones se agregan automáticamente a la lista.
Las aplicaciones también se pueden agregar manualmente a la lista de confianza mediante Configuration Manager o Intune. Se pueden realizar acciones adicionales desde el portal de Microsoft Defender.
Por qué es importante el acceso controlado a carpetas
El acceso controlado a carpetas es especialmente útil para ayudar a proteger sus documentos e información frente a ransomware. En un ataque de ransomware, sus archivos se pueden cifrar y mantener como rehén. Con el acceso controlado a carpetas en su lugar, aparece una notificación en el equipo donde una aplicación intentó realizar cambios en un archivo en una carpeta protegida. Puede personalizar la notificación con los detalles de la empresa y la información de contacto. También puede habilitar las reglas individualmente para personalizar las técnicas que supervisan las características.
Las carpetas protegidas incluyen carpetas comunes del sistema (incluidos los sectores de arranque) y puede agregar más carpetas. También puede permitir que las aplicaciones les concedan acceso a las carpetas protegidas.
Puede usar el modo de auditoría para evaluar cómo afectaría el acceso controlado a la carpeta a su organización si estuviera habilitado.
El acceso controlado a carpetas se admite en las siguientes versiones de Windows:
- Windows 10, versión 1709 y posteriores
- Windows 11
- Windows 2012 R2
- Windows 2016
- Windows Server 2019
- Windows Server 2022
Las carpetas del sistema de Windows están protegidas de forma predeterminada
Las carpetas del sistema de Windows están protegidas de forma predeterminada, junto con otras carpetas:
Las carpetas protegidas incluyen carpetas comunes del sistema (incluidos los sectores de arranque) y puede agregar carpetas adicionales. También puede permitir que las aplicaciones les concedan acceso a las carpetas protegidas. Las carpetas de sistemas Windows que están protegidas de forma predeterminada son:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
Las carpetas predeterminadas aparecen en el perfil del usuario, en Este equipo.
Nota:
Puede configurar carpetas adicionales como protegidas, pero no puede quitar las carpetas del sistema de Windows que están protegidas de forma predeterminada.
Requisitos para el acceso controlado a carpetas
El acceso controlado a carpetas requiere habilitar Microsoft Defender protección antivirus en tiempo real.
Revisión de eventos de acceso controlado a carpetas en el portal de Microsoft Defender
Defender para punto de conexión proporciona informes detallados sobre eventos y bloques como parte de sus escenarios de investigación de alertas en el portal de Microsoft Defender; consulte Microsoft Defender para punto de conexión en Microsoft Defender XDR.
Puede consultar Microsoft Defender para punto de conexión datos mediante la búsqueda avanzada. Si usa el modo de auditoría, puede usar la búsqueda avanzada para ver cómo afectaría a su entorno la configuración de acceso controlado a carpetas si estuvieran habilitadas.
Consulta de ejemplo:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Revisar eventos de acceso controlado a carpetas en Windows Visor de eventos
Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando se controla el acceso a carpetas bloquea (o audita) una aplicación:
- Descargue el paquete de evaluación y extraiga el archivo cfa-events.xml en una ubicación de fácil acceso en el dispositivo.
- Escriba Visor de eventos en el menú Inicio para abrir el Visor de eventos de Windows.
- En el panel izquierdo, en Acciones, seleccione Importar vista personalizada....
- Vaya al lugar donde extrajo cfa-events.xml y selecciónelo. Como alternativa, copie el XML directamente.
- Seleccione Aceptar.
En la tabla siguiente se muestran eventos relacionados con el acceso controlado a carpetas:
| Id. de evento | Descripción |
|---|---|
| 5007 | Evento cuando se cambia la configuración |
| 1124 | Evento de acceso a carpetas controladas auditadas |
| 1123 | Evento de acceso a carpetas controladas bloqueadas |
| 1127 | Evento de bloque de escritura del sector de acceso a carpetas controlado bloqueado |
| 1128 | Evento de bloque de escritura del sector de acceso a carpetas controlado auditado |
Ver o cambiar la lista de carpetas protegidas
Puede usar la aplicación Seguridad de Windows para ver la lista de carpetas protegidas por el acceso controlado a carpetas.
- En el dispositivo Windows 10 o Windows 11, abra la aplicación Seguridad de Windows.
- Seleccione Protección antivirus y contra amenazas.
- En Protección contra ransomware, seleccione Administrar protección contra ransomware.
- Si el acceso controlado a carpetas está desactivado, deberá activarlo. Seleccione carpetas protegidas.
- Realice uno de los pasos siguientes:
- Para agregar una carpeta, seleccione + Agregar una carpeta protegida.
- Para quitar una carpeta, selecciónela y, a continuación, seleccione Quitar.
Nota:
Las carpetas del sistema de Windows están protegidas de forma predeterminada y no se pueden quitar de la lista. Las subcarpetas también se incluyen en la protección al agregar una nueva carpeta a la lista.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de