Protéger les dossiers importants avec accès contrôlé aux dossiers

S’applique à :

Vous souhaitez faire l’expérience de Defender for Endpoint ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Qu’est-ce que l’accès contrôlé aux dossiers ?

L’accès contrôlé aux dossiers permet de protéger vos données précieuses contre les applications malveillantes et les menaces, telles que les ransomware. L’accès contrôlé aux dossiers protège vos données en vérifiant les applications par rapport à une liste d’applications connues et fiables. Pris en charge sur les clients Windows Server 2019 et Windows 10, l’accès contrôlé aux dossiers peut être désactivé à l’aide de Sécurité Windows App, Microsoft Endpoint Configuration Manager ou Intune (pour les appareils gérés).

Notes

Les moteurs de script ne sont pas fiables et vous ne pouvez pas leur autoriser l’accès aux dossiers protégés contrôlés. Par exemple, PowerShell n’est pas approuvé par l’accès contrôlé aux dossiers,même si vous l’autorisez avec des indicateurs de certificat et de fichier.

L’accès contrôlé aux dossiers fonctionne mieux avec Microsoft Defender pour pointde terminaison, qui vous fournit des rapports détaillés sur les événements et les blocs d’accès contrôlé aux dossiers dans le cadre des scénarios d’investigation d’alerte habituels.

Conseil

Les blocs d’accès contrôlé aux dossiers ne génèrent pas d’alertes dans la file d’attente des alertes. Toutefois, vous pouvez afficher des informations sur les blocs d’accès contrôlés aux dossiers dans l’affichage chronologie de l’appareil, lors de l’utilisation d’un repérage avancé ouavec des règles de détection personnalisées.

Comment fonctionne l’accès contrôlé aux dossiers ?

L’accès contrôlé aux dossiers fonctionne uniquement en permettant aux applications de confiance d’accéder aux dossiers protégés. Les dossiers protégés sont spécifiés lorsque l’accès contrôlé aux dossiers est configuré. En règle générale, les dossiers couramment utilisés, tels que ceux utilisés pour les documents, les images, les téléchargements, etc., sont inclus dans la liste des dossiers contrôlés.

L’accès contrôlé aux dossiers fonctionne avec une liste d’applications de confiance. Les applications incluses dans la liste des logiciels de confiance fonctionnent comme prévu. Les applications qui ne sont pas incluses dans la liste sont empêchées d’apporter des modifications aux fichiers à l’intérieur de dossiers protégés.

Les applications sont ajoutées à la liste en fonction de leur prévalence et de leur réputation. Les applications qui sont très répandues dans toute votre organisation et qui n’ont jamais affiché de comportement considéré comme malveillant sont considérées comme fiables. Ces applications sont ajoutées automatiquement à la liste.

Les applications peuvent également être ajoutées manuellement à la liste de confiance à l’aide de Configuration Manager ou d’Intune. Des actions supplémentaires, telles que l’ajout d’un indicateur de fichier pour une application, peuvent être effectuées à partir de la console du centre de sécurité.

Pourquoi l’accès contrôlé aux dossiers est-il important ?

L’accès contrôlé aux dossiers est particulièrement utile pour protéger vos documents et informations contre les ransomware. Dans le cas d’une attaque par ransomware, vos fichiers peuvent être chiffrés et maintenus en maison d’amis. Une fois l’accès contrôlé aux dossiers en place, une notification s’affiche sur l’ordinateur sur lequel une application a tenté d’apporter des modifications à un fichier dans un dossier protégé. Vous pouvez personnaliser la notification avec les informations et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement pour personnaliser les techniques analysées par la fonctionnalité.

Les dossiers protégés incluent les dossiers système courants (y compris les secteurs de démarrage) et vous pouvez ajouter d’autres dossiers. Vous pouvez également autoriser les applications à leur donner accès aux dossiers protégés.

Vous pouvez utiliser le mode audit pour évaluer l’impact de l’accès contrôlé aux dossiers sur votre organisation s’il était activé. Vous pouvez également visiter le site web Windows Defender test au demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne et voir comment elle fonctionne.

L’accès contrôlé aux dossiers est pris en charge sur les versions suivantes de Windows :

Windows dossiers système sont protégés par défaut

Windows système sont protégés par défaut, ainsi que plusieurs autres dossiers :

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Notes

Vous pouvez configurer des dossiers supplémentaires comme étant protégés, mais vous ne pouvez pas supprimer les Windows système qui sont protégés par défaut.

Conditions requises pour l’accès contrôlé aux dossiers

L’accès contrôlé aux dossiers nécessite l Antivirus Microsoft Defender protection en temps réel.

Passer en revue les événements d’accès contrôlé aux dossiers dans Microsoft 365 Defender portail

Defender for Endpoint fournit des rapports détaillés sur les événements et les blocages dans le cadre de ses scénarios d’investigation d’alerte dans Microsoft 365 Defender portail. (Voir Microsoft Defender pour le point de terminaison dans Microsoft 365 Defender.)

Vous pouvez interroger Microsoft Defender pour obtenir des données de point de terminaison à l’aide du recherche avancée. Si vous utilisez le mode audit,vous pouvez utiliser la recherche avancée pour voir comment les paramètres d’accès contrôlé aux dossiers auraient une incidence sur votre environnement s’ils étaient activés.

Exemples de requête :

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Passer en revue les événements d’accès contrôlé aux dossiers dans Windows’observateur d’événements

Vous pouvez consulter le journal Windows événements pour voir les événements créés lorsque l’accès contrôlé aux dossiers bloque (ou audite) une application :

  1. Téléchargez le package d’évaluation et extrayez le fichiercfa-events.xmlun emplacement facilement accessible sur l’appareil.
  2. Tapez l’Observateur d’événements menu Démarrer pour ouvrir l Windows’observateur d’événements.
  3. Dans le panneau gauche, sous Actions, sélectionnez Importer un affichage personnalisé....
  4. Accédez à l’endroit où vous avezcfa-events.xml et sélectionnez-le. Vous pouvez également copier le XML directement.
  5. Sélectionnez OK.

Le tableau suivant indique les événements liés à l’accès contrôlé aux dossiers :



ID d’événement Description
5007 Événement lorsque les paramètres sont modifiés
1124 Événement d’accès contrôlé aux dossiers audité
1123 Événement d’accès contrôlé aux dossiers bloqué

Afficher ou modifier la liste des dossiers protégés

Vous pouvez utiliser l’application Sécurité Windows pour afficher la liste des dossiers protégés par un accès contrôlé aux dossiers.

  1. Sur votre Windows 10, ouvrez l’application Sécurité Windows’application.
  2. Sélectionnez Protection contre les virus et les menaces.
  3. Sous Protection contre les ransomware, sélectionnez Gérer la protection contre les ransomware.
  4. Si l’accès contrôlé aux dossiers est désactivé, vous devez l’activer. Sélectionnez les dossiers protégés.
  5. Effectuez l’une des étapes suivantes :
    • Pour ajouter un dossier, sélectionnez + Ajouter un dossier protégé.
    • Pour supprimer un dossier, sélectionnez-le, puis sélectionnez Supprimer.

Notes

Windows dossiers système sont protégés par défaut et vous ne pouvez pas les supprimer de la liste.