Évaluer l’accès contrôlé aux dossiers

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’accès contrôlé aux dossiers est une fonctionnalité qui permet de protéger vos documents et fichiers contre toute modification par des applications suspectes ou malveillantes. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019, Windows Server 2022, Windows 10 et windows 11.

Il est particulièrement utile pour vous protéger contre les ransomware qui tentent de chiffrer vos fichiers et de les maintenir en attente.

Cet article vous aide à évaluer l’accès contrôlé aux dossiers. Il explique comment activer le mode audit afin de pouvoir tester la fonctionnalité directement dans votre organisation.

Conseil

Vous pouvez également consulter le site web du scénario de démonstration microsoft Defender pour point de terminaison sur demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne et voir comment elle fonctionne.

Utiliser le mode audit pour mesurer l’impact

Activez l’accès contrôlé aux dossiers en mode audit pour voir un enregistrement de ce qui se serait passé s’il était entièrement activé. Testez le fonctionnement de la fonctionnalité dans votre organisation pour vous assurer qu’elle n’affecte pas vos applications métier. Vous pouvez également avoir une idée du nombre de tentatives de modification de fichier suspectes qui se produisent généralement sur une certaine période de temps.

Pour activer le mode audit, utilisez l’cmdlet PowerShell suivante :

Set-MpPreference -EnableControlledFolderAccess AuditMode

Conseil

Si vous souhaitez auditer entièrement le fonctionnement de l’accès contrôlé aux dossiers dans votre organisation, vous devez utiliser un outil de gestion pour déployer ce paramètre sur les appareils de votre réseau. Vous pouvez également utiliser une stratégie de groupe, Intune, la gestion des périphériques mobiles (MDM) ou des Microsoft Endpoint Manager pour configurer et déployer le paramètre, comme décrit dans la rubrique principale d’accès contrôlé aux dossiers.

Passer en revue les événements d’accès contrôlé aux dossiers dans Windows’observateur d’événements

Les événements d’accès contrôlé aux dossiers suivants apparaissent dans Windows’Observateur d’événements sous Microsoft/Windows/Windows Defender/Opérationnel.

ID d’événement Description
5007 Événement lorsque les paramètres sont modifiés
1124 Événement d’accès contrôlé aux dossiers audité
1123 Événement d’accès contrôlé aux dossiers bloqué

Conseil

Vous pouvez configurer un abonnement Windows de l’événement pour collecter les journaux de manière centralisée.

Personnaliser les applications et les dossiers protégés

Au cours de votre évaluation, vous pouvez ajouter des fichiers à la liste des dossiers protégés ou autoriser certaines applications à modifier des fichiers.

Voir Protéger les dossiers importants avec un accès contrôlé aux dossiers pour configurer la fonctionnalité à l’aide des outils de gestion, notamment la stratégie de groupe, PowerShell et les fournisseurs de services de configuration (CSP) DE GESTION.

Voir aussi