Personalizar acceso controlado a carpetas

Se aplica a:

Acceso controlado a carpetas te ayuda a proteger los datos importantes de las aplicaciones malintencionadas y amenazas, como ransomware. El acceso controlado a carpetas es compatible con los clientes de Windows Server 2019 y Windows 10.

En este tema se describe cómo personalizar la siguiente configuración de la característica de acceso controlado a la carpeta con la aplicación de seguridad de Windows, la Directiva de grupo, PowerShell y los proveedores de servicios de configuración (CSP) de administración de dispositivos móviles (MDM):

Advertencia

El acceso controlado a carpetas controla las aplicaciones de las actividades que pueden ser malintencionadas. A veces, puede bloquear el que una aplicación legítima realice cambios legítimos en tus archivos.

Esto puede afectar a la productividad de la organización, por eso conviene plantearse ejecutar la función en modo auditoría para evaluar completamente la incidencia de la función.

Proteger carpetas adicionales

Acceso controlado a carpetas se aplica a una serie de carpetas del sistema y las ubicaciones predeterminadas, incluidas carpetas como Documentos, Imágenes, Películas y Escritorio.

Puedes agregar otras carpetas para que queden protegidas, pero no puedes quitar las carpetas predeterminadas de la lista de predeterminadas.

Agregar otras carpetas a la carpeta controlada el acceso puede ser útil, por ejemplo, si no almacena los archivos en las bibliotecas predeterminadas de Windows o si ha cambiado la ubicación de las bibliotecas fuera de los valores predeterminados.

También puede introducir recursos compartidos de red y unidades asignadas. Se admiten los caracteres comodín y las variables de entorno. Para obtener información sobre el uso de caracteres comodín, vea usar caracteres comodín en las listas nombre de archivo y ruta de la carpeta o exclusión de extensiones.

Puede usar la aplicación de seguridad de Windows o la Directiva de grupo para agregar y quitar carpetas protegidas adicionales.

Usar la aplicación de seguridad de Windows para proteger carpetas adicionales

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el icono Virus & protección contra amenazas (o en el icono de escudo de la barra de menús izquierdo) y, a continuación, haga clic en protección contra ransomware:

  3. En la sección Acceso controlado a carpetas, haz clic en Carpetas protegidas.

  4. Haz clic en agregar una carpeta protegida y sigue las instrucciones para agregar aplicaciones.

Usar la directiva de grupo para proteger carpetas adicionales

  1. En el equipo de administración de directivas de grupo, abra la consola de administración de directivasde grupo, haga clic con el botón secundario en el objeto de directiva de grupo que desea configurar y haga clic en Editar.

  2. En el Editor de administración de directivas de grupo, vaya a configuración del equipo y haga clic en plantillas administrativas.

  3. Expandir el árbol a componentes > de Windows Windowsdefender antivirus > Windowsdefender protección > de lacarpeta controlada.

  4. Haga doble clic en carpetas protegidas configuradas y establezca **** la opción en habilitado. Haz clic en Mostrar e introduce cada carpeta.

Usar PowerShell para proteger carpetas adicionales

  1. Haz clic en powershell, en el menú Inicio, haz clic con el botón derecho en Windows PowerShell y haz clic en Ejecutar como administrador.
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
    

Sigue usando Add-MpPreference -ControlledFolderAccessProtectedFolders para agregar más carpetas a la lista. Las carpetas agregadas con este cmdlet aparecerán en la aplicación de seguridad de Windows.

Captura de pantalla de una ventana de PowerShell con el cmdlet anterior introducido

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para proteger carpetas adicionales

Usa el ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList proveedor de servicios de configuración (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Permitir que aplicaciones específicas realicen cambios en las carpetas controladas

Puedes especificar si determinadas aplicaciones siempre deben considerarse seguras y tener acceso de escritura a los archivos de las carpetas protegidas. Permitir el acceso a las aplicaciones puede ser útil si encuentra una aplicación en particular que sabe y en la que confía está bloqueada por la característica de acceso controlado a carpetas.

Importante

De forma predeterminada, Windows agrega aplicaciones que considera amistosas a la lista permitida: las aplicaciones agregadas automáticamente por Windows no se graban en la lista que se muestra en la aplicación de seguridad de Windows o mediante los cmdlets de PowerShell asociados. No es necesario agregar la mayoría de las aplicaciones. Solo conviene agregar aplicaciones si vienen siendo bloqueadas y puedes verificar su grado de confianza.

Cuando agregas una aplicación, tienes que especificar la ubicación de la aplicación. Solo la aplicación de esa ubicación tendrá permiso de acceso a las carpetas protegidas: Si la aplicación (con el mismo nombre) se encuentra en una ubicación diferente, no se agregará a la lista de permitidos y puede ser bloqueada por el acceso controlado a la carpeta.

Una aplicación o servicio permitido solo tiene acceso de escritura a una carpeta controlada después de que se inicie. Por ejemplo, si permite un servicio de actualización que ya se está ejecutando, el servicio de actualización seguirá desencadenando eventos hasta que el servicio se detenga y se reinicie.

Usar la aplicación Seguridad de Windows Defender para permitir aplicaciones específicas

  1. Abra la seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el icono Virus & protección contra amenazas (o en el icono de escudo de la barra de menús izquierdo) y, a continuación, haga clic en protección contra ransomware.

  3. En la sección Acceso controlado a carpetas, haz clic en Permitir una aplicación a través de Acceso controlado a carpetas

  4. Haz clic en Agregar una aplicación permitida y sigue las instrucciones para agregar aplicaciones.

    Captura de pantalla de cómo agregar un botón de la aplicación permitido

Usar la directiva de grupo para permitir aplicaciones específicas

  1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo , vaya a configuración del equipo y haga clic en plantillas administrativas.

  3. Expandir el árbol a componentes > de Windows Windowsdefender antivirus > Windowsdefender protección > de lacarpeta controlada.

  4. Haz doble clic en la configuración Configurar las aplicaciones permitidas y establece la opción en Habilitado. Haz clic en Mostrar e introduce cada aplicación.

Usar PowerShell para permitir aplicaciones específicas

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y haga clic en Ejecutar como administrador .
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
    

    Por ejemplo, para agregar el archivo ejecutable Test. exe ubicado en la carpeta C:\apps, el cmdlet sería el siguiente:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
    

    Sigue usando Add-MpPreference -ControlledFolderAccessAllowedApplications para agregar más aplicaciones a la lista. Las aplicaciones que se agreguen con este cmdlet aparecerán en la aplicación de seguridad de Windows.

Captura de pantalla de una ventana de PowerShell con el cmdlet anterior introducido

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para permitir aplicaciones específicas

Usa el ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications proveedor de servicios de configuración (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Personalizar la notificación

Consulte el tema de seguridad de Windows para obtener más información sobre la personalización de la notificación cuando se desencadena una regla y se bloquea una aplicación o un archivo.

Temas relacionados