Personalizar acceso controlado a carpetas

Se aplica a:

Acceso controlado a carpetas te ayuda a proteger los datos importantes de las aplicaciones malintencionadas y amenazas, como ransomware. Acceso controlado a carpetas se admite en Windows Server 2019, así como los clientes de Windows 10.

En este tema se describe cómo personalizar las siguientes opciones de la característica de acceso controlado a carpetas con la aplicación, la directiva de grupo, PowerShell y proveedores de servicios de configuración (CSP) de dispositivos móviles (MDM) de administración de seguridad de Windows:

Advertencia

Controla el acceso de carpeta supervisa las aplicaciones para actividades fueran maliciosas. A veces, puede bloquear el que una aplicación legítima realice cambios legítimos en tus archivos.

Esto puede afectar a la productividad de la organización, por eso conviene plantearse ejecutar la función en modo auditoría para evaluar completamente la incidencia de la función.

Proteger carpetas adicionales

Acceso controlado a carpetas se aplica a una serie de carpetas del sistema y las ubicaciones predeterminadas, incluidas carpetas como Documentos, Imágenes, Películas y Escritorio.

Puedes agregar otras carpetas para que queden protegidas, pero no puedes quitar las carpetas predeterminadas de la lista de predeterminadas.

Agregar otras carpetas a acceso controlado a carpetas puede ser útil, por ejemplo, si no almacenas archivos en las bibliotecas de Windows predeterminadas o has cambiado la ubicación de las bibliotecas de los valores predeterminados.

También puedes introducir recursos compartidos de red y unidades asignadas. Se admiten comodines ni variables de entorno. Para obtener información sobre el uso de caracteres comodín, vea usar caracteres comodín en el archivo nombre y una carpeta ruta de acceso o la extensión listas de exclusión.

Puedes usar la aplicación de seguridad de Windows o la directiva de grupo para agregar y quitar carpetas protegidas adicionales.

Usar la aplicación de seguridad de Windows para proteger carpetas adicionales

  1. Abre la aplicación de seguridad de Windows haciendo clic en el icono de escudo en la barra de tareas o buscando Defenderen el menú Inicio.

  2. Haz clic en el icono de protección contra amenazas de Virus & (o en el icono de escudo en la barra de menús de la izquierda) y, a continuación, haz clic en protección contra Ransomware:

  3. En la sección Acceso controlado a carpetas, haz clic en Carpetas protegidas.

  4. Haz clic en agregar una carpeta protegida y sigue las instrucciones para agregar aplicaciones.

Usar la directiva de grupo para proteger carpetas adicionales

  1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de grupo, haz clic en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo, ve a Configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > acceso controlado a carpetas.

  4. Haz doble clic en carpetas protegidas configurado y establece la opción como habilitado. Haz clic en Mostrar e introduce cada carpeta.

Usar PowerShell para proteger carpetas adicionales

  1. Haz clic en powershell, en el menú Inicio, haz clic con el botón derecho en Windows PowerShell y haz clic en Ejecutar como administrador.
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
    

Sigue usando Add-MpPreference -ControlledFolderAccessProtectedFolders para agregar más carpetas a la lista. Las carpetas agregadas con este cmdlet aparecerán en la aplicación de seguridad de Windows.

Captura de pantalla de una ventana de PowerShell con el cmdlet anterior introducido

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para proteger carpetas adicionales

Usa el ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList proveedor de servicios de configuración (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Permitir que aplicaciones específicas realicen cambios en las carpetas controladas

Puedes especificar si determinadas aplicaciones siempre deben considerarse seguras y tener acceso de escritura a los archivos de las carpetas protegidas. Permite que las aplicaciones puede ser útil si encuentras alguna aplicación en particular que conozcas y confianza que está bloqueando la característica de acceso controlado a carpetas.

Importante

De manera predeterminada, Windows agrega aplicaciones que considera amigables a la lista de permitidos: las aplicaciones que agrega automáticamente Windows no se registran en la lista que aparece en la aplicación de seguridad de Windows o mediante el uso de los cmdlets de PowerShell asociados. No es necesario agregar la mayoría de las aplicaciones. Solo conviene agregar aplicaciones si vienen siendo bloqueadas y puedes verificar su grado de confianza.

Cuando agregas una aplicación, tienes que especificar la ubicación de la aplicación. Solo la aplicación en el que ubicación recibirá permiso para acceder a las carpetas protegidas: si la aplicación (con el mismo nombre) se encuentra en una ubicación diferente, no se agregará a la lista de permitidos y puede bloquearse mediante acceso controlado.

Una aplicación permitida o un servicio solo tiene acceso de escritura a una carpeta controlada después de que se inicie. Por ejemplo, si se permite un servicio de actualización que ya se está ejecutando, el servicio de actualización seguirán desencadenar eventos hasta que se detiene y reinicia el servicio.

Usar la aplicación Seguridad de Windows Defender para permitir aplicaciones específicas

  1. Abre la seguridad de Windows haciendo clic en el icono de escudo en la barra de tareas o buscando Defenderen el menú Inicio.

  2. Haz clic en el icono de protección contra amenazas de Virus & (o en el icono de escudo en la barra de menús de la izquierda) y, a continuación, haz clic en protección contra Ransomware.

  3. En la sección Acceso controlado a carpetas, haz clic en Permitir una aplicación a través de Acceso controlado a carpetas

  4. Haz clic en Agregar una aplicación permitida y sigue las instrucciones para agregar aplicaciones.

    Captura de pantalla de cómo agregar un botón de la aplicación permitida

Usar la directiva de grupo para permitir aplicaciones específicas

  1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo ve a Configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > acceso controlado a carpetas.

  4. Haz doble clic en la configuración Configurar las aplicaciones permitidas y establece la opción en Habilitado. Haz clic en Mostrar e introduce cada aplicación.

Usar PowerShell para permitir aplicaciones específicas

  1. Tipo de powershell en el menú Inicio, haz clic en Windows PowerShell y haz clic en Ejecutar como administrador
  2. Introduce el cmdlet siguiente:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
    

    Por ejemplo, para agregar el archivo ejecutable test.exe ubicado en la carpeta C:\apps, el cmdlet sería como sigue:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
    

    Sigue usando Add-MpPreference -ControlledFolderAccessAllowedApplications para agregar más aplicaciones a la lista. Las aplicaciones agregadas con este cmdlet aparecerán en la aplicación de seguridad de Windows.

Captura de pantalla de una ventana de PowerShell con el cmdlet anterior introducido

Importante

Usa Add-MpPreference para anexar o agregar aplicaciones a la lista. Al usar el cmdlet Set-MpPreference, se sobrescribirá la lista existente.

Usar los CSP de MDM para permitir aplicaciones específicas

Usa el ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications proveedor de servicios de configuración (CSP) para permitir que las aplicaciones realicen cambios en carpetas protegidas.

Personalizar la notificación

Consulta el tema de Seguridad de Windows para obtener más información sobre cómo personalizar la notificación cuando una regla se desencadena y bloquea una aplicación o un archivo.

Temas relacionados