Personnaliser l'accès contrôlé aux dossiers

S'applique à:

La fonctionnalité Accès contrôlé aux dossiers permet de protéger vos données importantes des applications malveillantes et autres menaces comme les ransomware. L’accès contrôlé aux dossiers est pris en charge sur les clients Windows Server 2019 et Windows 10.

Cette rubrique décrit comment personnaliser les paramètres suivants de la fonctionnalité d’accès contrôlé aux dossiers avec l’application de sécurité Windows, la stratégie de groupe, les fournisseurs de services de configuration (CSP) et de gestion des appareils mobiles (GPM):

Avertissement

Un accès contrôlé aux dossiers surveille les applications pour les activités susceptibles d’être malveillantes. Parfois, elle peut empêcher une application légitime d’apporter des modifications légitimes à vos fichiers.

Cela peut avoir un impact sur la productivité de votre organisation, auquel cas vous pouvez envisager d'exécuter la fonctionnalité en mode audit afin d'évaluer de façon complète l'impact de la fonctionnalité.

Protéger des dossiers supplémentaires

L’Accès contrôlé aux dossiers s’applique à divers dossiers système et emplacements par défaut, notamment les dossiers Documents, Images, Vidéos et Bureau.

Vous pouvez ajouter des dossiers supplémentaires à protéger, mais vous ne pouvez pas supprimer les dossiers par défaut de la liste par défaut.

L’ajout d’autres dossiers à un accès contrôlé aux dossiers peut être utile, par exemple, si vous ne stockez pas de fichiers dans les bibliothèques Windows par défaut ou si vous avez modifié l’emplacement des bibliothèques en dehors des paramètres par défaut.

Vous pouvez également entrer des partages réseau et des lecteurs mappés. Les variables d’environnement et les caractères génériques sont pris en charge. Pour plus d’informations sur l’utilisation des caractères génériques, voir utiliser des caractères génériques dans les listes nom de fichier et chemin d’accès du dossier ou exclusions d’extensions.

Vous pouvez utiliser l’application de sécurité Windows ou une stratégie de groupe pour ajouter et supprimer des dossiers protégés supplémentaires.

Utiliser l’application de sécurité Windows pour protéger d’autres dossiers

  1. Ouvrez l’application de sécurité Windows en cliquant sur l’icône bouclier dans la barre des tâches ou en effectuant une recherche dans le menu Démarrer pour Defender.

  2. Cliquez sur la vignette de protection contre les menaces & (ou sur l’icône bouclier dans la barre de menus gauche), puis cliquez sur protection contreles ransomwares:

  3. Sous la section Accès contrôlé aux dossiers, cliquez sur Dossiers protégés

  4. Cliquez sur Ajouter un dossier protégé et suivez les invites pour ajouter les applications.

Utiliser une stratégie de groupe pour protéger des dossiers supplémentaires

  1. Sur l’ordinateur de gestion des stratégies de groupe, ouvrez la console de gestion des stratégiesde groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez configurer, puis cliquez sur modifier.

  2. Dans l' éditeur de gestion des stratégies de groupe, accédez à configuration de l' ordinateur , puis cliquez sur modèles d’administration.

  3. Développez l’arborescence pour accéder aux composants > Windows Defender > de l’antivirus Windows Defenderprotection contre > lecontrôle d’accès au dossier contrôlé.

  4. Double-cliquez sur dossiers protégés configurés et définissez l’option sur activé. Cliquez sur Afficher et entrez chaque dossier.

Utiliser PowerShell pour protéger des dossiers supplémentaires

  1. Tapez powershell dans le menu Démarrer, cliquez avec le bouton droit sur WindowsPowerShell, puis cliquez sur Exécuter en tant qu’administrateur
  2. Entrez l’applet de commande suivante:

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
    

Continuez à utiliser Add-MpPreference -ControlledFolderAccessProtectedFolders pour ajouter d’autres dossiers à la liste. Les dossiers ajoutés à l’aide de cette applet de cmdlet s’afficheront dans l’application de sécurité Windows.

Capture d’écran d’une fenêtre PowerShell avec l’applet de commande saisie ci-dessus

Important

Utilisez Add-MpPreference pour ajouter des applications à la liste. L’utilisation de l’applet de commande Set-MpPreference remplacera la liste existante.

Utiliser les fournisseurs de services de configuration GPM pour protéger des dossiers supplémentaires

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList pour autoriser des applications à modifier les dossiers protégés.

Autoriser des applications spécifiques à apporter des modifications aux dossiers contrôlés

Vous pouvez spécifier si certaines applications doivent toujours être considérées comme fiables et si elles doivent avoir un accès en écriture aux fichiers des dossiers protégés. L’autorisation des applications peut être utile si vous trouvez une application particulière que vous connaissez et que votre confiance est bloquée par la fonctionnalité d’accès contrôlé aux dossiers.

Important

Par défaut, Windows ajoute des applications considérées comme adaptées à la liste autorisée: les applications ajoutées automatiquement par Windows ne sont pas enregistrées dans la liste affichée dans l’application de sécurité Windows ou à l’aide des applets de méthode PowerShell associées. Il ne devrait pas être nécessaire d’ajouter la plupart des applications. Ajoutez des applications uniquement si elles sont bloquées et que vous pouvez garantir leur fiabilité.

Lorsque vous ajoutez une application, vous devez spécifier son emplacement. Seule l’application dans cet emplacement sera autorisée à accéder aux dossiers protégés: si l’application (portant le même nom) est située à un autre emplacement, elle ne sera pas ajoutée à la liste verte et peut être bloquée par un accès contrôlé aux dossiers.

Une application ou un service autorisé dispose d’un accès en écriture à un dossier contrôlé après le démarrage. Par exemple, si vous autorisez un service de mise à jour déjà en cours d’exécution, le service de mise à jour continue de déclencher des événements jusqu’à ce que le service soit arrêté et redémarré.

Utiliser l'application Windows Defender Security pour autoriser des applications spécifiques

  1. Ouvrez la sécurité Windows en cliquant sur l’icône bouclier de la barre des tâches ou en effectuant une recherche dans le menu Démarrer pour Defender.

  2. Cliquez sur la vignette Virus & protection Threat (ou sur l’icône bouclier dans la barre de menus de gauche), puis cliquez sur protection contre les ransomware.

  3. Sous la section Accès contrôlé aux dossiers, cliquez sur Autoriser une application via un dispositif d’accès contrôlé aux dossiers

  4. Cliquez sur Ajouter une application autorisée et suivez les invites pour ajouter les applications.

    Capture d’écran de l’ajout d’un bouton d’application autorisé

Utiliser une stratégie de groupe pour autoriser des applications spécifiques

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans l' éditeur de gestion des stratégies de groupe , sélectionnez Configuration de l' ordinateur , puis cliquez sur modèles d’administration.

  3. Développez l’arborescence pour accéder aux composants > Windows Defender > de l’antivirus Windows Defenderprotection contre > lecontrôle d’accès au dossier contrôlé.

  4. Double-cliquez sur le paramètre Configurer les applications autorisées et définissez l’option sur Activé. Cliquez sur Afficher et entrez chaque application.

Utiliser PowerShell pour autoriser des applications spécifiques

  1. Tapez PowerShell dans le menu Démarrer, cliquez avec le bouton droit sur Windows PowerShell , puis cliquez sur exécuter en tant qu’administrateur .
  2. Entrez l’applet de commande suivante:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
    

    Par exemple, pour ajouter le fichier test exécutable. exe situé dans le dossier C:\APPS, l’applet de contrôle se présente comme suit:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
    

    Continuez à utiliser Add-MpPreference -ControlledFolderAccessAllowedApplications pour ajouter d’autres applications à la liste. Les applications ajoutées à l’aide de cette applet de cmdlet s’afficheront dans l’application de sécurité Windows.

Capture d’écran d’une fenêtre PowerShell avec l’applet de commande saisie ci-dessus

Important

Utilisez Add-MpPreference pour ajouter des applications à la liste. L’utilisation de l’applet de commande Set-MpPreference remplacera la liste existante.

Utiliser des fournisseur de services de configuration (CSP) de GPM pour autoriser des applications spécifiques

Utilisez le fournisseur de services de configuration ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications pour autoriser des applications à modifier les dossiers protégés.

Personnaliser la notification

Pour plus d’informations sur la personnalisation de la notification lorsqu’une règle est déclenchée et bloque une application ou un fichier, voir la rubrique relative à la sécurité Windows .

Rubriques associées