Protéger des dossiers importants avec l’Accès contrôlé aux dossiersProtect important folders with controlled folder access

Important

Bienvenue dans Microsoft Defender pour points de terminaison, le nouveau nom de protection avancée contre les menaces Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Pour en savoir plus, consultez cette page.Read more about this and other updates here. Nous allons mettre à jour les noms des produits et des documents dans un futur proche.We'll be updating names in products and in the docs in the near future.

S’applique à:Applies to:

Qu’est-ce que le contrôle d’accès aux dossiers?What is controlled folder access?

Un accès contrôlé aux dossiers vous permet de protéger vos données sensibles contre les applications malveillantes, telles que les ransomware.Controlled folder access helps you protect your valuable data from malicious apps and threats, like ransomware. Un accès contrôlé aux dossiers protège vos données en vérifiant les applications par rapport à une liste d’applications connues et approuvées.Controlled folder access protects your data by checking apps against a list of known, trusted apps. Pris en charge sur les clients Windows Server 2019 et Windows 10, l’accès contrôlé aux dossiers peut être activé à l’aide de l’application de sécurité Windows ou dans Microsoft Endpoint Configuration Manager et Intune (pour les appareils gérés).Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App or in Microsoft Endpoint Configuration Manager and Intune (for managed devices).

Un accès contrôlé aux dossiers fonctionne de façon optimale avec Microsoft Defender protection avancée contre les menaces, qui vous permet de fournir des informations détaillées sur les événements d’accès aux dossiers contrôlés et de les bloquer dans le cadre des scénarios d’étude d’alertehabituels.Controlled folder access works best with Microsoft Defender Advanced Threat Protection, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Fonctionnement du contrôle d’accès aux dossiersHow does controlled folder access work?

L’accès contrôlé aux dossiers fonctionne en autorisant uniquement les applications approuvées à accéder aux dossiers protégés.Controlled folder access works by only allowing trusted apps to access protected folders. Les dossiers protégés sont spécifiés lorsque l’accès contrôlé aux dossiers est configuré.Protected folders are specified when controlled folder access is configured. En général, les dossiers fréquemment utilisés tels que ceux utilisés pour les documents, les images, les téléchargements, etc., sont inclus dans la liste des dossiers contrôlés.Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

L’accès contrôlé aux dossiers fonctionne avec une liste de logiciels approuvés.Controlled folder access works with a list of trusted software. Si une application est incluse dans la liste des logiciels approuvés, l’application fonctionne comme prévu.If an app is included in the list of trusted software, the app works as expected. Si ce n’est pas le cas, l’application ne peut pas apporter de modifications à des fichiers dans des dossiers protégés.If not, the app is blocked from making any changes to files that are inside protected folders. Les applications sont ajoutées à la liste de confiance en fonction de leur prévalence et de leur réputation.Apps are added to the trusted list based upon their prevalence and reputation. Les applications extrêmement répandues au sein de votre organisation, qui n’ont jamais affiché de comportement malveillant, sont considérées comme dignes de confiance et ajoutées automatiquement à la liste.Apps that are highly prevalent throughout your organization, and that have never displayed any malicious behavior, are deemed trustworthy and automatically added to the list.

Les applications peuvent également être ajoutées manuellement à la liste de confiance via Configuration Manager et Intune.Apps can also be manually added to the trusted list via Configuration Manager and Intune. D’autres actions, telles que l' Ajout d’un indicateur de fichier pour l’application, peuvent être effectuées à partir de la console du centre de sécurité.Additional actions, such as adding a file indicator for the app, can be performed from the Security Center Console.

Un accès contrôlé aux dossiers est particulièrement utile pour protéger vos documents et informations des ransomware.Controlled folder access is especially useful in helping to protect your documents and information from ransomware. Dans une attaque par ransomware, vos fichiers peuvent être chiffrés et conservés Hostage.In a ransomware attack, your files can get encrypted and held hostage. Un accès contrôlé aux dossiers contrôlé permet d’afficher une notification sur l’ordinateur sur lequel une application a essayé d’apporter des modifications à un fichier dans un dossier protégé.With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise.You can customize the notification with your company details and contact information. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.You can also enable the rules individually to customize what techniques the feature monitors.

Les dossiers protégés incluent les dossiers système courants et vous pouvez ajouter d’autres dossiers.The protected folders include common system folders, and you can add additional folders. Vous pouvez également autoriser les applications à accéder aux dossiers protégés.You can also allow apps to give them access to the protected folders.

Vous pouvez utiliser le mode de vérification pour évaluer la façon dont l’accès contrôlé aux dossiers aura un impact sur votre organisation s’il a été activé.You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. Vous pouvez également consulter le site Web de test de Windows Defender sur Demo.WD.Microsoft.com pour vérifier qu’elle fonctionne et comment elle fonctionne.You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

L’accès contrôlé aux dossiers est pris en charge sur Windows 10, version 1709 et ultérieure et Windows Server 2019.Controlled folder access is supported on Windows 10, version 1709 and later and Windows Server 2019.

Conditions requisesRequirements

L’accès contrôlé aux dossiers nécessite l’activation de la protection en temps réel de l’antivirus Microsoft Defender.Controlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Passer en revue les événements d’accès aux dossiers contrôlés dans le centre de sécurité Microsoft DefenderReview controlled folder access events in the Microsoft Defender Security Center

Microsoft Defender ATP fournit un rapport détaillé des événements et des blocs dans le cadre de ses scénarios d’enquête par alerte.Microsoft Defender ATP provides detailed reporting into events and blocks as part of its alert investigation scenarios.

Vous pouvez interroger les données Microsoft Defender ATP à l’aide du repérage avancé.You can query Microsoft Defender ATP data by using Advanced hunting. Si vous utilisez le mode d’audit, vous pouvez utiliser la chasse avancée pour voir comment les paramètres d’accès aux dossiers contrôlés affecteraient votre environnement s’ils étaient activés.If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Exemple de requête:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Examiner les événements d’accès aux dossiers contrôlés dans l’observateur d’événements WindowsReview controlled folder access events in Windows Event Viewer

Vous pouvez passer en revue le journal des événements Windows pour afficher les événements qui sont créés lors du contrôle des blocs d’accès aux dossiers (ou audits) d’une application:You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. Téléchargez le package d’évaluation et extrayez le fichier cfa-events.xml à un emplacement facilement accessible sur l’appareil.Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.

  2. Tapez Observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.Type Event viewer in the Start menu to open the Windows Event Viewer.

  3. Dans le volet gauche, sous actions, sélectionnez Importer un affichage personnalisé....On the left panel, under Actions, select Import custom view....

  4. Accédez à l’emplacement où vous avez extrait le fichier cfa-events.xml et sélectionnez-le.Navigate to where you extracted cfa-events.xml and select it. Vous pouvez également copier le codeXML directement.Alternatively, copy the XML directly.

  5. Cliquez sur OK.Click OK.

Après avoir suivi cette procédure, vous avez créé un affichage personnalisé qui affiche les événements liés à l’accès contrôlé aux dossiers, comme indiqué dans le tableau suivant:After following the procedure, you have created a custom view that shows events related to controlled folder access, as listed in the following table:

ID d’événementEvent ID DescriptionDescription
50075007 Événement lors de la modification des paramètresEvent when settings are changed
11241124 Événement d’accès à un dossier contrôlé auditéAudited controlled folder access event
11231123 Événement d’accès aux dossiers contrôlés bloquésBlocked controlled folder access event

Affichage ou modification de la liste des dossiers protégésView or change the list of protected folders

Application de sécurité Windows 10Windows 10 security app

  1. Sur votre appareil Windows 10, ouvrez l’application de sécurité Windows.On your Windows 10 device, open the Windows Security app.

  2. Sélectionnez protection contre les Virus & menace.Select Virus & threat protection.

  3. Sous protection contre le ransomware, sélectionnez gérer la protection contre les ransomware.Under Ransomware protection, select Manage ransomware protection.

  4. Si l’accès contrôlé aux dossiers est désactivé, vous devez l’activer.If controlled folder access is turned off, you'll need to turn it on. Sélectionnez dossiers protégés.Select protected folders.

  5. Effectuez l’une des opérations suivantes:Do one of the following steps:

    • Pour ajouter un dossier, sélectionnez + Ajouter un dossier protégé.To add a folder, select + Add a protected folder.

    • Pour supprimer un dossier, sélectionnez-le, puis sélectionnez supprimer.To remove a folder, select it, and then select Remove.

Voir égalementSee also