Protéger des dossiers importants avec l’Accès contrôlé aux dossiers

S'applique à:

La fonctionnalité Accès contrôlé aux dossiers permet de protéger vos données importantes des applications malveillantes et autres menaces comme les ransomware. Il protège vos données en effectuant une recherche dans une liste d’applications connues et approuvées. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019 et Windows 10. Vous pouvez activer ce service par le biais de l’application de sécurité Windows ou du System Center Configuration Manager (SCCM) et de Intune, pour les appareils gérés. Un accès contrôlé aux dossiers fonctionne de façon optimale avec Microsoft Defender protection avancée contre les menaces, qui vous permet de fournir des informations détaillées sur les événements d’accès aux dossiers contrôlés et de les bloquer dans le cadre des scénarios d’étude d’alertehabituels.

Un accès contrôlé aux dossiers fonctionne en autorisant uniquement les applications à accéder aux dossiers protégés si l’application est incluse dans une liste de logiciels approuvés. Si une application ne se trouve pas dans la liste, l’accès au dossier contrôlé empêche celle-ci de modifier des fichiers dans des dossiers protégés.

Les applications sont ajoutées à la liste de confiance en fonction de leur prévalence et de leur réputation. Les applications extrêmement répandues au sein de votre organisation, qui n’ont jamais affiché de comportement malveillant, sont considérées comme dignes de confiance et ajoutées automatiquement à la liste.

Les applications peuvent également être ajoutées manuellement à la liste de confiance via SCCM et Intune. D’autres actions, telles que l' Ajout d’un indicateur de fichier pour l’application, peuvent être effectuées à partir de la console du centre de sécurité.

Un accès contrôlé aux dossiers est particulièrement utile pour protéger vos documents et informations de ransomware qui peut essayer de chiffrer vos fichiers et de les Hostage.

Dans le cas où un accès contrôlé aux dossiers est activé, une notification apparaît sur l’ordinateur sur lequel l’application a essayé d’apporter des modifications à un dossier protégé. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.

Les dossiers protégés incluent les dossiers système courants et vous pouvez ajouter d’autres dossiers. Vous pouvez également autoriser des applications ou les ajouter à une liste verte afin de leur donner accès aux dossiers protégés.

Vous pouvez utiliser le mode de vérification pour évaluer la façon dont l’accès contrôlé aux dossiers aura un impact sur votre organisation s’il a été activé. Vous pouvez également consulter le site web WindowsDefenderTestground à l’adresse demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne bien et voir comment elle fonctionne.

L’accès contrôlé aux dossiers est pris en charge sur Windows 10, version 1709 et ultérieure et Windows Server 2019.

Spécifications

L’accès contrôlé aux dossiers nécessite l’activation de la protection en temps réel de l’antivirus Windows Defender.

Passer en revue les événements d’accès aux dossiers contrôlés dans le centre de sécurité Microsoft Defender ATP

Microsoft Defender ATP fournit un rapport détaillé des événements et des blocs dans le cadre de ses scénarios d’enquête par alerte.

Vous pouvez interroger les données de Microsoft Defender ATP en utilisant une chasse avancée. Si vous utilisez le mode d’audit, vous pouvez utiliser la chasse avancée pour voir comment les paramètres d’accès aux dossiers contrôlés affecteraient votre environnement s’ils étaient activés.

Voici un exemple de requête

MiscEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Examiner les événements d’accès aux dossiers contrôlés dans l’observateur d’événements Windows

Vous pouvez passer en revue le journal des événements Windows pour afficher les événements qui sont créés lors du contrôle des blocs d’accès aux dossiers (ou audits) d’une application:

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier cfa-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet gauche, sous actions, cliquez sur Importer un affichage personnalisé....

  4. Accédez à l’emplacement où vous avez extrait le fichier cfa-events.xml et sélectionnez-le. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

  6. Cette opération crée un affichage personnalisé qui filtre pour afficher uniquement les événements suivants liés à l’accès contrôlé aux dossiers:

ID d’événement Description
5007 Événement lors de la modification des paramètres
1124 Événement d’accès à un dossier contrôlé audité
1123 Événement d’accès aux dossiers contrôlés bloqués

Dans cette section

Rubrique Description
Évaluer l’accès contrôlé aux dossiers Utilisez un outil de démonstration dédié pour voir le fonctionnement de l’accès à un dossier contrôlé et les événements qui sont généralement créés.
Activer l’accès contrôlé aux dossiers Utiliser une stratégie de groupe, PowerShell ou les fournisseurs de services d’assurance GPM pour activer et gérer l’accès aux dossiers contrôlés dans votre réseau
Personnaliser l'accès contrôlé aux dossiers Ajoutez d’autres dossiers protégés et autorisez des applications spécifiques à accéder aux dossiers protégés.