Activer l'accès contrôlé aux dossiersEnable controlled folder access

Important

Bienvenue dans Microsoft Defender pour points de terminaison, le nouveau nom de protection avancée contre les menaces Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Pour en savoir plus, consultez cette page.Read more about this and other updates here. Nous allons mettre à jour les noms des produits et des documents dans un futur proche.We'll be updating names in products and in the docs in the near future.

S'applique à:Applies to:

Le contrôle de l’accès aux dossiers vous aide à protéger les données importantes des applications malveillantes, telles que les ransomware.Controlled folder access helps you protect valuable data from malicious apps and threats, such as ransomware. Un accès contrôlé aux dossiers est inclus dans Windows 10 et Windows Server 2019.Controlled folder access is included with Windows 10 and Windows Server 2019.

Vous pouvez activer l’accès contrôlé aux dossiers en utilisant l’une des méthodes suivantes:You can enable controlled folder access by using any of these methods:

Le mode d’audit vous permet de tester le fonctionnement de la fonctionnalité (et de passer en revue les événements) sans influer sur l’utilisation normale de l’appareil.Audit mode allows you to test how the feature would work (and review events) without impacting the normal use of the device.

Les paramètres de stratégie de groupe qui désactivent la fusion de la liste d’administrateurs locaux écrasent les paramètres d’accès aux dossiers contrôlés.Group Policy settings that disable local administrator list merging will override controlled folder access settings. Ils remplacent également les dossiers protégés et les applications autorisées définies par l’administrateur local par le biais de l’accès contrôlé aux dossiers.They also override protected folders and allowed apps set by the local administrator through controlled folder access. Ces stratégies incluent:These policies include:

  • Antivirus Microsoft Defender configurez le comportement de fusion administrateur local pour les listesMicrosoft Defender Antivirus Configure local administrator merge behavior for lists
  • System Center Endpoint Protection permettre aux utilisateurs d’ajouter des exclusions et des remplacementsSystem Center Endpoint Protection Allow users to add exclusions and overrides

Pour plus d’informations sur la désactivation de la fusion de listes locales, voir empêcher ou autoriser les utilisateurs à modifier les paramètres de stratégie antivirus de Microsoft Defender en local.For more information about disabling local list merging, see Prevent or allow users to locally modify Microsoft Defender AV policy settings.

Application de sécurité WindowsWindows Security app

  1. Ouvrez l’application de sécurité Windows en sélectionnant l’icône bouclier dans la barre des tâches.Open the Windows Security app by selecting the shield icon in the task bar. Vous pouvez également effectuer une recherche dans le menu Démarrer pour Defender.You can also search the start menu for Defender.

  2. Sélectionnez la vignette du Virus & Threat Protection (ou l’icône bouclier dans la barre de menus gauche), puis sélectionnez protection contre les ransomware.Select the Virus & threat protection tile (or the shield icon on the left menu bar) and then select Ransomware protection.

  3. Définissez le commutateur sur activépour l' accès au dossier contrôlé .Set the switch for Controlled folder access to On.

Notes

Si le contrôle d’accès aux dossiers contrôlés utilise une stratégie de groupe, PowerShell ou les fournisseurs de services de la gestion des périphériques mobiles, l’État devient modifié dans l’application de sécurité Windows après le redémarrage de l’appareil.If controlled folder access is configured with Group Policy, PowerShell, or MDM CSPs, the state will change in the Windows Security app after a restart of the device. Si la fonctionnalité est définie sur mode audit avec l’un de ces outils, l’application de sécurité Windows affichera l’état désactivé.If the feature is set to Audit mode with any of those tools, the Windows Security app will show the state as Off. Si vous protégez les données de profil utilisateur, nous vous recommandons d’utiliser le profil utilisateur sur le lecteur d’installation Windows par défaut.If you are protecting user profile data, we recommend that the user profile should be on the default Windows installation drive.

IntuneIntune

  1. Connectez-vous au portail Azure et ouvrez Intune.Sign in to the Azure portal and open Intune.

  2. Accédez à profils de Configuration des appareils > Profiles > créer un profil.Go to Device configuration > Profiles > Create profile.

  3. Nommez le profil, puis sélectionnez Windows 10 et les versions ultérieures et Endpoint Protection.Name the profile, choose Windows 10 and later and Endpoint protection.
    Créer un profil de protection des points de terminaison

  4. Accédez à configurerle > protecteur d’exploitation Windows Defender > activation del’accès contrôlé aux dossiers > Enable.Go to Configure > Windows Defender Exploit Guard > Controlled folder access > Enable.

  5. Tapez le chemin d’accès de chaque application ayant accès aux dossiers protégés et le chemin d’accès à un dossier supplémentaire qui nécessite une protection.Type the path to each application that has access to protected folders and the path to any additional folder that needs protection. Cliquez sur Ajouter.Select Add.
    Activer l’accès contrôlé aux dossiers dans Intune

    Notes

    Wilcard est pris en charge pour les applications, mais pas pour les dossiers.Wilcard is supported for applications, but not for folders. Les sous-dossiers ne sont pas protégés.Subfolders are not protected. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.Allowed apps will continue to trigger events until they are restarted.

  6. Sélectionnez OK pour enregistrer chaque lame ouverte et créer.Select OK to save each open blade and Create.

  7. Sélectionnez les affectationsde profil, attribuez à tous les utilisateurs & tous les appareils, puis cliquez sur Enregistrer.Select the profile Assignments, assign to All Users & All Devices, and Save.

Gestion des périphériques mobiles (GPM)Mobile Device Management (MDM)

Utilisez le fournisseur de services de configuration (CSP) ./Vendor/msft/Policy/config/ControlledFolderAccessProtectedFolders pour permettre aux applications de modifier des dossiers protégés.Use the ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) to allow apps to make changes to protected folders.

Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager

  1. Dans le gestionnaire de configuration de points de terminaison de Microsoft, accédez à ressources et > protection du point de terminaisonde conformité > Windows Defender exploit Guard.In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. Sélectionnez Home > créer une stratégie de protectionpour les particuliers.Select Home > Create Exploit Guard Policy.

  3. Entrez un nom et une description, sélectionnez contrôle de l’accès au dossier, puis sélectionnez suivant.Enter a name and a description, select Controlled folder access, and select Next.

  4. Déterminez si les modifications de blocage ou d’audit, autorisez d’autres applications ou ajoutez d’autres dossiers, puis sélectionnez suivant.Choose whether block or audit changes, allow other apps, or add other folders, and select Next.

    Notes

    Wilcard est pris en charge pour les applications, mais pas pour les dossiers.Wilcard is supported for applications, but not for folders. Les sous-dossiers ne sont pas protégés.Subfolders are not protected. Les applications autorisées continuent de déclencher des événements jusqu’à ce qu’elles soient redémarrées.Allowed apps will continue to trigger events until they are restarted.

  5. Passez en revue les paramètres, puis sélectionnez suivant pour créer la stratégie.Review the settings and select Next to create the policy.

  6. Une fois la stratégie créée, Fermez.After the policy is created, Close.

Stratégie de groupeGroup Policy

  1. Sur votre appareil de gestion des stratégies de groupe, ouvrez la console de gestion des stratégiesde groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez configurer, puis sélectionnez modifier.On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. Dans l' éditeur de gestion des stratégies de groupe, accédez à configuration de l' ordinateur , puis sélectionnez modèles d’administration.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  3. Développez l’arborescence pour accéder aux composants windows > antivirus Microsoft defender > le protecteur d’exploitation Windows defender > contrôle de l’accès au dossier contrôlé.Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

  4. Double-cliquez sur le paramètre Configurer l’Accès contrôlé aux dossiers et définissez l’option sur Activé.Double-click the Configure Controlled folder access setting and set the option to Enabled. Dans la section Options, vous devez spécifier l’une des options suivantes:In the options section you must specify one of the following options:

    • Activer -les applications malveillantes et suspectes ne sont pas autorisées à modifier les fichiers dans les dossiers protégés.Enable - Malicious and suspicious apps won't be allowed to make changes to files in protected folders. Une notification sera fournie dans le journal des événements Windows.A notification will be provided in the Windows event log.

    • Disable (par défaut) : la fonctionnalité d’accès contrôlé aux dossiers ne fonctionne pas.Disable (Default) - The Controlled folder access feature won't work. Toutes les applications peuvent modifier les fichiers des dossiers protégés.All apps can make changes to files in protected folders.

    • Mode d’audit : les modifications seront autorisées si une application malveillante ou douteuse tente d’apporter une modification à un fichier dans un dossier protégé.Audit Mode - Changes will be allowed if a malicious or suspicious app attempts to make a change to a file in a protected folder. Néanmoins, il sera enregistré dans le journal des événements Windows pour vous permettre d’évaluer l’impact sur votre organisation.However, it will be recorded in the Windows event log where you can assess the impact on your organization.

    • Bloquer la modification de disques uniquement : les tentatives d’écriture sur des secteurs de disque par des applications non approuvées seront enregistrées dans le journal des événements Windows.Block disk modification only - Attempts by untrusted apps to write to disk sectors will be logged in Windows Event log. Ces journaux sont accessibles dans les journaux des applications et des Services > Microsoft > Windows > windows Defender > opérationnel > id 1123.These logs can be found in Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1123.

    • L’audit de la modification du disque uniquement : seules les tentatives d’écriture dans les secteurs de disque protégé seront enregistrées dans le journal des événements Windows (sous applications et services consignel' > Microsoft > ID opérationnel MicrosoftWindows > Defender > Operational > 1124).Audit disk modification only - Only attempts to write to protected disk sectors will be recorded in the Windows event log (under Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1124). Les tentatives de modification ou de suppression de fichiers dans les dossiers protégés ne seront pas enregistrées.Attempts to modify or delete files in protected folders won't be recorded.

      Capture d’écran de l’option de stratégie de groupe activée et du mode d’audit sélectionné dans la liste déroulante

Important

Pour activer entièrement le contrôle d’accès au dossier, vous devez définir l’option de stratégie de groupe sur activé et sélectionner bloquer dans le menu déroulant des options.To fully enable controlled folder access, you must set the Group Policy option to Enabled and select Block in the options drop-down menu.

PowerShellPowerShell

  1. Tapez PowerShell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell , puis sélectionnez exécuter en tant qu’administrateur.Type powershell in the Start menu, right-click Windows PowerShell and select Run as administrator.

  2. Entrez l’applet de commande suivante:Enter the following cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

Vous pouvez activer la fonctionnalité en mode d’audit en spécifiant AuditMode au lieu de Enabled .You can enable the feature in audit mode by specifying AuditMode instead of Enabled.

Utiliser Disabled pour désactiver cette fonctionnalité.Use Disabled to turn off the feature.

Voir égalementSee also