Protéger des dossiers importants avec l’Accès contrôlé aux dossiers

S'applique à:

La fonctionnalité Accès contrôlé aux dossiers permet de protéger vos données importantes des applications malveillantes et autres menaces comme les ransomware. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019 et Windows 10. Un accès contrôlé aux dossiers fonctionne de façon optimale avec Microsoft Defender protection avancée contre les menaces, qui vous permet de fournir des informations détaillées sur les événements d’accès aux dossiers contrôlés et de les bloquer dans le cadre des scénarios d’étude d’alertehabituels.

Toutes les applications (tous les fichiers exécutables, y compris .exe, .scr, .dll et autres) sont évaluées par l’Antivirus WindowsDefender, qui détermine ensuite si l’application est malveillante ou fiable. Si l’application est identifiée comme étant malveillante ou suspecte, elle ne sera pas autorisée à modifier les fichiers d’un dossier protégé.

Cela est particulièrement utile pour protéger vos documents et informations des ransomware qui peuvent tenter de chiffrer vos fichiers afin de les prendre en otage.

Une notification s’affiche sur l’ordinateur sur lequel l’application a essayé d’apporter des modifications à un dossier protégé. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.

Les dossiers protégés incluent les dossiers système courants et vous pouvez ajouter d’autres dossiers. Vous pouvez également autoriser des applications ou les ajouter à une liste verte afin de leur donner accès aux dossiers protégés.

Vous pouvez utiliser le mode de vérification pour évaluer la façon dont l’accès contrôlé aux dossiers aura un impact sur votre organisation s’il a été activé. Vous pouvez également consulter le site web WindowsDefenderTestground à l’adresse demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne bien et voir comment elle fonctionne.

L’accès contrôlé aux dossiers est pris en charge sur Windows 10, version 1709 et ultérieure et Windows Server 2019.

Spécifications

L’accès contrôlé aux dossiers nécessite l’activation de la protection en temps réel de l’antivirus Windows Defender.

Passer en revue les événements d’accès aux dossiers contrôlés dans le centre de sécurité Microsoft Defender ATP

Microsoft Defender ATP fournit un rapport détaillé des événements et des blocs dans le cadre de ses scénarios d’enquête par alerte.

Vous pouvez interroger les données de Microsoft Defender ATP en utilisant une chasse avancée. Si vous utilisez le mode d’audit, vous pouvez utiliser la chasse avancée pour voir comment les paramètres d’accès aux dossiers contrôlés affecteraient votre environnement s’ils étaient activés.

Voici un exemple de requête

MiscEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Examiner les événements d’accès aux dossiers contrôlés dans l’observateur d’événements Windows

Vous pouvez passer en revue le journal des événements Windows pour afficher les événements qui sont créés lors du contrôle des blocs d’accès aux dossiers (ou audits) d’une application:

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier cfa-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet gauche, sous actions, cliquez sur Importer un affichage personnalisé....

  4. Accédez à l’emplacement où vous avez extrait le fichier cfa-events.xml et sélectionnez-le. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

  6. Cette opération crée un affichage personnalisé qui filtre pour afficher uniquement les événements suivants liés à l’accès contrôlé aux dossiers:

ID d’événement Description
5007 Événement lors de la modification des paramètres
1124 Événement d’accès à un dossier contrôlé audité
1123 Événement d’accès aux dossiers contrôlés bloqués

Dans cette section

Rubrique Description
Évaluer l’accès contrôlé aux dossiers Utilisez un outil de démonstration dédié pour voir le fonctionnement de l’accès à un dossier contrôlé et les événements qui sont généralement créés.
Activer l’accès contrôlé aux dossiers Utiliser une stratégie de groupe, PowerShell ou les fournisseurs de services d’assurance GPM pour activer et gérer l’accès aux dossiers contrôlés dans votre réseau
Personnaliser l'accès contrôlé aux dossiers Ajoutez d’autres dossiers protégés et autorisez des applications spécifiques à accéder aux dossiers protégés.