Habilitar el acceso controlado a carpetas

Se aplica a:

El acceso controlado a carpetas le ayuda a proteger datos valiosos de las amenazas y aplicaciones malintencionadas, como ransomware. Forma parte de Protección contra vulnerabilidades de seguridad de Windows Defender. El acceso controlado a la carpeta se incluye en Windows 10 y Windows Server 2019.

Puede habilitar el acceso controlado a la carpeta mediante cualquiera de estos métodos:

El modo auditoría le permite probar cómo funcionará la característica (y revisar los eventos) sin afectar al uso normal del equipo.

La configuración de directiva de grupo que deshabilita la combinación de listas del administrador local anulará la configuración de acceso controlado a carpetas. También invalidan las carpetas protegidas y las aplicaciones permitidas establecidas por el administrador local mediante el acceso controlado a la carpeta. Estas directivas son:

  • Antivirus de Windows Defender configurar el comportamiento de fusión del administrador local para listas
  • System Center Endpoint Protection permite a los usuarios agregar exclusiones e invalidaciones

Para obtener más información sobre cómo deshabilitar la combinación de listas locales, consulte impedir o permitir a los usuarios modificar localmente la configuración de la Directiva de AV de Windows Defender.

Aplicación de seguridad de Windows

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haga clic en el icono Virus & protección contra amenazas (o en el icono de escudo de la barra de menús izquierdo) y, a continuación, haga clic en protección contra ransomware.

  3. Establezca el modificador de acceso a la carpeta controlada como activado.

Nota

Si el acceso controlado a la carpeta está configurado con CSP de directiva de grupo, PowerShell o MDM, el estado cambiará en la aplicación de seguridad de Windows después de reiniciar el dispositivo. Si la característica se establece en el modo auditoría con cualquiera de estas herramientas, la aplicación de seguridad de Windows mostrará el **** Estado deshabilitado.

Intune

  1. Inicie sesión en Azure portal y abra Intune.
  2. Haga clic enperfiles > de configuración > de dispositivocrear perfil.
  3. Asigne un nombre al perfil, elija Windows 10 y versiones posteriores y protección de extremos. Crear Perfil de Endpoint Protection
  4. Haga clic en configurar > elfiltrado > **** de red de protección > deWindows Defenderhabilitado.
  5. Escriba la ruta de acceso a todas las aplicaciones que tengan acceso a las carpetas protegidas y la ruta de acceso a cualquier carpeta adicional que precise protección y haga clic en Agregar.

    Habilitar el acceso controlado a carpetas en Intune

    Nota

    Wilcard es compatible con las aplicaciones, pero no con las carpetas. Las subcarpetas no están protegidas. Las aplicaciones permitidas seguirán desencadenando eventos hasta que se reinicien.

  6. Haga clic en Aceptar para guardar cada Blade abierto y haga clic en crear.

  7. Haga clic en las asignacionesde perfil, asigne a todos los usuarios & todos los dispositivosy haga clic en Guardar.

MDM

Use el proveedor de servicios de configuración ./Vendor/msft/Policy/config/ControlledFolderAccessProtectedFolders (CSP) para permitir que las aplicaciones realicen cambios en las carpetas protegidas.

SCCM

  1. En System Center Configuration Manager, haga clic en protección delextremo > de cumplimiento > y de activos deWindows Defender.
  2. Haga clic en Inicio > ,crear Directiva de protección contra ataques.
  3. Escriba un nombre y una descripción, haga clic en acceso controlado a carpetasy haga clic en siguiente.
  4. Elija si desea cambiar el bloqueo o la auditoría, permitir otras aplicaciones o agregar otras carpetas, y haga clic en siguiente. >[!NOTE] >Wilcard es compatible con las aplicaciones, pero no con las carpetas. Las subcarpetas no están protegidas. Las aplicaciones permitidas seguirán desencadenando eventos hasta que se reinicien.
  5. Revise la configuración y haga clic en siguiente para crear la Directiva.
  6. Una vez creada la Directiva, haga clic en cerrar.

Directiva de grupo

  1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de grupos., haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz clic en Editar.

  2. En el Editor de administración de directivas de grupo , vaya a configuración del equipo y haga clic en plantillas administrativas.

  3. Expande el árbol a Componentes de Windows > Antivirus de Windows Defender > Protección contra vulnerabilidades de seguridad de Windows Defender > Acceso controlado a carpetas.

  4. Haz doble clic en la opción Configurar Acceso controlado a carpetas y establece la opción en Habilitado. En la sección de opciones, puede especificar una de las siguientes:

    • Habilitar: no se permitirá que las aplicaciones malintencionadas y sospechosas hagan cambios en los archivos de las carpetas protegidas. Se proporcionará una notificación en el registro de eventos de Windows
    • Deshabilitar (Predeterminado): la función Acceso controlado a carpetas no funcionará. Todas las aplicaciones pueden realizar cambios en los archivos de las carpetas protegidas.
    • Modo auditoría : si una aplicación de software malintencionada o sospechosa intenta realizar un cambio en un archivo de una carpeta protegida, el cambio se permitirá, pero se registrará en el registro de eventos de Windows. Esto te permitirá evaluar la incidencia de esta función en la organización.

      Captura de pantalla de la opción directiva de grupo con habilitado y, a continuación, habilitar selección en la lista desplegable

Importante

Para habilitar completamente el acceso controlado a la carpeta, debe establecer la opción directiva **** de grupo en habilitado y también seleccionar Habilitar en el menú desplegable Opciones.

PowerShell

  1. Escriba PowerShell en el menú Inicio, haga clic con el botón derecho en Windows PowerShell y haga clic en Ejecutar como administrador.

  2. Introduce el cmdlet siguiente:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

Puede habilitar la característica en modo auditoría especificando AuditMode en lugar de. Enabled

Usa Disabled para desactivar la función.

Temas relacionados